米モジラの研究者エイザ・ラスキン氏は2010年5月25日、同氏の公式ブログにおいて、フィッシング詐欺に悪用可能な新しい手口とそのデモを公開した。Webブラウザーに表示されているタブの内容を、バックグラウンドで偽のログインサイトなどに変更してユーザーをだます。
今回報告した手口は「タブナビング(tabnabbing:タブ盗み)」と名付けられた。この手口では、攻撃者はまず、ユーザーを攻撃者のWebページにアクセスさせる。このWebページは一見まともな内容にして、ユーザーを怪しませないようにする(図1)。
ユーザーがタブを切り替えて、別のタブの内容をブラウザーに表示させると、攻撃者のWebページに仕込まれたプログラム(JavaScript)が動き出し、タブのタイトルとアイコン(ファビコン)、表示している内容を切り替える。
ラスキン氏が公開するデモでは、別のタブに切り替えてから5秒後に、タブのタイトルや内容が、「Gmail」のログインページに切り替わる(図2)。アドレスバーの表示(URL)は元のページのままで、実際にはGmailのログインページではない。
しかしながら、タブのタイトルや内容だけで、ユーザーは正規のログインページと判断するだろうとしている。ユーザーは、タブの内容が変わるとは思っていないからだ。ラスキン氏は「The attack preys on the perceived immutability of tabs.(この攻撃は、『タブの内容は不変』だと思うことを突いている)」と表現している。
偽のログインページに切り替わったタブを見たユーザーは、何らかの理由でGmailがログアウトしたと判断し、偽ページにユーザー名とパスワードを入力して「ログイン」ボタンを押す(図3)。
すると偽ページは、入力情報を攻撃者に送信した後、本物のGmailにリダイレクトする。実際にはログアウトしていないため、そのタブには本物のGmailページが表示されるので、ユーザーはだまされたことに気付かない。
このような偽ページを作るのは容易で、短いプログラムで実現できるとしている。実際、ラスキン氏が公開しているプログラムコードは100行程度である。
デモではGmailをかたっているが、どのようなサービスでも攻撃対象になる。何らかの方法でユーザーが利用しているサービスを特定し、そのサービスのログインページなどにタブを切り替えるような「標的型攻撃(Targeted Attacks)」も可能だろうとしている。
このような手口が可能になるのは、ユーザー名とパスワードによるユーザー認証に問題があるためだとし、今後は、より安全な認証方法が必要だとラスキン氏は結んでいる。